论信息安全风险评估

【摘 要】本文介绍了信息安全风险评估的基本概述，信息安全风险评估基本要素及通用的信息安全风险评估过程。提出在实际工作中结合实际情况进行剪裁，完成自己的风险评估实践。

【关键词】信息安全；风险评估

1 企业信息安全风险评估概述

信息系统的风险评估是指确定在计算机系统和网络中每一种资源缺失或遭到破坏对整个系统造成的预计损失数量。是针对威胁、脆弱点以及它可能导致的风险大小而评估的。对信息安全进行风险分析和评估的目的就是：企业能知道信息系统中是否有安全隐患的存在，并估测这些风险将会造成的安全威胁与可能造成的损失，经过这些判断来决定修复或者对于安全信息系统的建立。

信息系统风险分析和评估能够有效的保护企业信息，但同时它也是一个较为复杂的过程，建立一个完善的信息安全风险评估需要具备相应的标准体系、技术体系、组织架构、业务体系同时也要遵循相关的法律法规。

2 企业信息安全风险评估的作用

信息安全风险评估是信息安全工作的基本保障措施之一。风险评估工作是预防为主方针的充分体现，它能够把信息化工作的安全控制关口前移，超前防范。

针对信息系统规划、设计、建设、运行、使用、维护等不同阶段实行不同的信息安全风险评估，这样能够在第一时间发现各种所存在的安全隐患，然后再运用科学的方法对风险进行分析，从而解决信息化过程中不同层次和阶段的安全问题。

在信息系统的规划设计阶段，信息安全风险评估工作的实行，可以使企业在充分考虑经营管理目标的条件下，对信息系统的各个结构进行完善从而满足企业业务发展和系统发展的安全需求，有效的避免事后的安全事故。这种信息安全风险评估是必不可少的，它很好地体现了“预防为主”方针的具体体现，可以有效降低整个信息系统的总体拥有成本。信息安全风险评估作为整个信息安全保障体系建设的基础、它确保了信息系统安全、业务安全、数据安全的基础性、预防性工作。因此企业信息安全风险评估工作需要落到实处，从而促进其进一步又好又快发展。

3 信息安全风险评估的基本要素

使命：一个组织机构通过信息化形成的能力要来进行的工作任务。使命是信息化的目的，一个信息系统如果不能实现具体的工作任务是没有意义的。对企业来说，信息系统的使命是业务战略。

依赖度：一个组织机构的使命对信息系统和信息的依靠程度。依赖度越高，风险评估的任务就越重要

资产：对组织具有价值的信息或资源，是安全策略保护的对象

资产价值：体现了资产在重要程度或敏感程度上的表现特征。作为资产的属性，资产价值同时也是对资产进行识别的重要内容。

威胁：一般指会对系统或组织造成不良后果的不希望事故潜在起因。

脆弱性：可能被威胁所利用的资产或若干资产的脆弱环节。通常脆弱性也被称作是弱点或漏洞。

威胁是外因，脆弱性是内因，威胁只有通过利用脆弱性才能造成安全事件。

风险：人为或自然的威胁利用信息系统及其管理体系中存在的脆弱性导致安全事件的发生及其对组织造成的影响。衡量风险的指标有两种，分别是由意外事件发生的概率或者是发生后可能造成的影响。

残余风险：就是指在安全保障手段之后，防护能力有了提升，但是危险并没有完全消失。

安全需求：为了保证组织机构能够正常的工作，因此在信息安全保障措施方面提出的要求。

安全保障措施：为了降低脆弱性，应对威胁，保护资产而进行的预防和控制意外事件的后果，检测、响应意外事件，使得灾难恢复迅速，同时打击信息违法行为而采取的各种实践、规程和机制的总称。

4 信息安全风险评估的基本过程

目前信息安全风险评估有大量成熟的过程指南和最佳实践，但风险评估过程的本质是搜集资产、威胁、漏洞、影响等资料和数据，其过程和流程有一定的通用性。

4.1 识别和特征化系统

信息安全风险评估的第一步就是确定评估的工作范围，界定风险评估工作的边界，并识别和特征化工作范围内信息系统的各种资产、支持的业务流程及相应的管理信息等。下图是一个信息系统描述规范：

4.2 识别和特征化漏洞

漏洞是在信息系统、系统安全程序、管理控制、物理设计、内部控制等可能被攻击者利用来获得未授权的信息或破坏关键处理的弱点。识别和特征化漏洞工作的目的是开发一个信息系统漏洞列表。一般常用的识别系统漏洞的方法包括：

（1）使用以前的风险评估报告、系统异常报告、权威机构的漏洞列表等；

（2）使用漏洞扫描工具、渗透性测试等主动的、系统化的测试方法；

（3）开发和使用安全检查列表，对实际系统进行配置核查。

4.3 识别和特征化威胁

威胁是能够通过未授权访问、毁坏、揭露、数据修改或拒绝服务对系统造成潜在危害的任何环境或事件，具体而言，威胁是一个特定威胁源成功利用一个特定漏洞的潜在可能。

威胁的具体描述没有严格规范，在信息安全风险评估过程中，应根据组织机构及其运行环境的实际来识别威胁。

4.4 识别和特征化安全控制措施

在进行信息安全风险评估时，除了分析漏洞和威胁，同时也要全面分析当前所采取的各种安全控制措施。

控制措施可以分为技术控制措施、管理控制措施和物理控制措施。技术控制措施是综合计算机硬件、软件和固件中的保护措施。如访问控制机制、身份识别机制、加密机制、入侵检测软件等。管理控制措施指的是管理运行和控制的保护措施。如安全策略、操作维护标准等。物理安全措施是指保护物理和环境安全。如重要资料柜加锁等。

4.5 确定可能性

完成系统信息、漏洞、威胁和现有安全控制措施的搜集和分析后，下一步需要评估安全事件一旦发生可能造成的危害程序。

风险就是后果和可能性的产物。通用公式为：风险=负面事件发生的可能性（概率）×此负面事件的影响（后果）

给定威胁源执行潜在漏洞的可能性可以用高、中、低进行描述。

可能性级别 可能性定义

高 威胁源有强烈的动机和足够的能力，并且已有的控制措施对其无效

中 威胁源有动机和能力，但已有的控制可能可以迟缓漏洞的成功实施

低 威胁源缺少动机或能力，或已有控制可以防止或极大地迟缓漏洞的实施

4.6 分析影响

从风险的最基本原理公式可以看到，要得出风险，需要计算威胁的影响。

信息安全的主要目的是确保保密性、完整性和可用性，安全事件的影响是通过危害保密性、完整性和可用性来体现的。因此，信息安全事件的影响量级（高、中、低）可以通过分析这三个安全目标的受损程度来确定。

失去完整性：由于有意或无意的行为对数据或信息系统的非授权修改。

失去可用性：信息系统功能和操作对其终端用户不可用。

失去保密性：受保护的数据和系统信息非授权访问、暴露。

4.7 确定风险

通过分析和确定了安全事件影响和可能性后，可以使用风险基本原理公式进行风险结果计算。

在定性风险评估中，对风险级别的确定可能会相对主观。其基本方法是为每种威胁可能性级别指定概率，为每种影响级别指定数值，最后确定风险区间等级。

如高威胁可能性的概率是1.0，低影响级别为10，则风险为1.0×10=10

风险等级：高（>50～100），中（>10～50），低（1～10）

4.8 编制风险评估报告和推荐安全控制措施

通过风险评估，得出风险的高中低等级，提出有针对性的抵御威胁的防护对策和整改措施，将风险控制在可接受的水平。从而为保障网络与信息安全提供依据。

5 结束语

信息安全风险评估工作是信息安全建设的起点和基础，在实际的信息安全风险评估工作中，应根据系统的实际运行环境和企业管理要求对评估过程进行剪裁，结合国内外标准规范，完成自己的风险评估实践。

参考文献：

[1]吴世忠，江常青，彭勇.信息安全保障基础.航空工业出版社，2009.7.